システムのセキュリティを脅かす新たな問題が登場してきた。メールやWebサイトを通じての情報漏洩,そして大量のスパム・メールである。メールやWebの運用方法と技術的な仕組みの両面から,効果的な対策を解説する。

 日常的なコミュニケーションツールとして,また,技術情報の調査や自社の情報発信の手段として,電子メールとWebは今やビジネスにおいてなくてはならない存在となった。だが,利便性を提供する一方で,様々な問題も引き起こしている。

 まず,メールやWebを経由した情報漏洩が発生している。企業は,顧客リスト,人事データ,競合分析の情報,販売戦略などを機密情報として管理している。それらの情報がメールやWeb経由で流出するようになった。従来は悪意のある人間がノートパソコンやリムーバブルメディアで持ち出すケースがほとんどだったが,最近は危機意識の低い社員が,私的なメールのやり取りで顧客情報や販売情報などを漏洩する事件が増えている。また匿名で書き込めるWebサイト上の掲示板などに,企業の内部情報が暴露されるケースも目につく。とかくITエンジニアは,ユーザー企業の様々な戦略情報や自社が管理する顧客情報など,機密情報を入手しやすい立場にいる。知らないうちに自分が加害者にならないためにも,情報漏洩のパターンや対策方法を理解しておく必要がある。

「迷惑」ではすまないスパム

 最近スパム・メール(迷惑メール)が,深刻な問題となりつつある。ここ数カ月の間に,日本人をターゲットにした日本語のスパムが急速に増えており,今や世界中の全スパムの10%近くを占めるようになってきている。内容はアダルトサイト,出会い系サイトなどへの勧誘や架空請求が中心である。巧妙な文句で誘い込み,金品を巻き上げるといった詐欺や悪徳商法のスパムも多い。

 最近のスパム送信者は,タイトルの付け方や文章の書き方を工夫してキーワード・フィルタリングをかいくぐったり,ウイルスで感染させた「ゾンビPC」を踏み台にしてスパムを送るなど,手口を高度化,悪質化させている。また,ウイルスそのものを送りつけてくるスパムも後を絶たない。

 スパムは情報漏洩にもつながる。例えばメールを受信した人が,スパムと知らずに返事のメールを出したり,書かれている内容を真に受けてリンク先のWebサイトにアクセスして個人情報を書き込んだりすると,個人情報はスパム送信業者たちの間にあっと言う間に流出してしまう*1

 あらゆる企業の社員にとって,日常業務の中で大量に届くスパムを削除する作業が,大きな負担となりつつある。企業にとっては,スパムのせいで爆発的に増加したメールを処理するために,メールサーバーを増強したり,メールボックスの容量を増加する必要があるなど,メールインフラの維持コストが増大している。このように,スパムの被害は単なる「迷惑」では済まされなくなりつつある。

 個人情報保護法が4月から施行され,情報漏洩とスパムを防ぐための,効果的な対策が求められている(図1)。そこで以下では,実効性のある具体的な対策の方法について紹介しよう。

図1●より効果的な対策が迫られるメール/Web経由の情報漏洩とスパム・メール
図1●より効果的な対策が迫られるメール/Web経由の情報漏洩とスパム・メール
電子メールやWebサイト経由の情報漏洩が増えると同時に,スパム・メールの手口がますます悪質化している。それに伴い,より高度で効果的な対策が求められている

記録によって不正を抑止

 メールやWebを通じての情報漏洩を防ぐためには,まずそれらの利用法についてのガイドライン(セキュリティポリシー)を設けること,そして技術的な仕組みを作ることの両方が必要である。

 日本ではまだ,コンピュータウイルスへの対策に比べて,メールやWebを経由した情報漏洩についての意識が低い。ガイドラインを明文化している企業はほとんどないのが実情だ。しかし,社員の危機意識を高めるためにもガイドラインを設け,周知徹底する必要がある。

 まず,メールやWebサイトを介して社外へ送信される情報は,内容も含めすべてを記録し,管理者が閲覧できる体制を作り,それを社員全員に通達するべきだ。社員のメールを記録しておくと,実際に機密漏洩が起きたときに証拠となるし,メールを探し出すときに役に立つ。またその事実を通達することで不正防止の大きな抑止力となる。

 実際の利用法に関しては,以下のような項目を定めることで,機密情報が流出する危険性を減らすことができる。つまり,無料メールアドレスや匿名メールアドレス(無料転送サービスやWebメールのアドレス)へのメール送信の制限,閲覧できるWebサイトの制限,Webサイトへのファイルのアップロード(もしくはサイトからのダウンロード)の制限,Webメールの使用の制限,などである。ガイドラインは単なる掛け声で終わっては意味がない。罰則などを設けて実効性のある運用をすることが大切だ。

 ただし,情報漏洩対策として,ガイドラインの策定だけでは不十分である。どんなにガイドラインを厳しく策定しても,それを守らないモラルの低い社員がいるかもしれない。特にメールのやっかいなところは,悪意がなくても,あて先を間違える操作ミスなどによって簡単に情報漏洩が起きてしまうことだ。そこで機密情報の外部への流出を強制的にブロックする技術的な仕組みが必要となる(図2)。

図2●情報漏洩を防ぐ基本的な仕組みの例
図2●情報漏洩を防ぐ基本的な仕組みの例
メールやWebサイトの掲示板への書き込みを通じての情報漏洩事件を防ぐためには,利用法に関するセキュリティポリシーを設定すると同時に,メールサーバーとインターネットの間にフィルタリングツールを導入したり,プロキシサーバーにフィルタリング機能を持たせる対策が必要だ

機密は逐一フィルタリング

 メールの場合は,社内のメールサーバーとインターネットの間にフィルタリング製品を導入する。ここでメール本文や添付ファイルに含まれる社外秘の資料や住所録,電話番号などの情報を検出し,ガイドラインに違反しているメールの配送をストップする。日本ではまだ導入企業は少ないが,英国や米国では,従業員のメールやWebサイト閲覧のフィルタリングを行う官公庁や企業が増えている。情報管理体制が厳しく問われるようになった今,日本でもその必要性が高まりつつある。

 フィルタリングの基本は,「社外秘」や「部外秘」といった文字列(キーワード)の検出だ。最近は,メール本文や添付ファイル内の文字列だけではなく,WordやExcelなどに埋め込まれた,他のソフトで作成したオブジェクトの中身も認識してフィルタリングできるような精度の高いフィルタリングツールも登場している。

 Web経由での情報漏洩を防ぐ方法も,やはり基本はフィルタリングである。プロキシ上にフィルタリング製品を導入し,URLフィルタリングを行ったり,不適切な情報がWebサイトにアップロード(もしくはWebサイトからダウンロード)されないかをスキャンする。また,業務に無関係なドメインや,DNS(Domain Name System)の逆引きができないIPアドレスのURLへのアクセスをブロックしたり,HTTP POST*2でファイルをアップロードできるURLをあらかじめ制限しておくことで,情報漏洩の危険性を減らす。

 メールとWebのいずれの場合も,ファイアウォールを適切に設定し,社員のクライアントPCからは直接インターネットへ出られないようにしておくことは,言うまでもない。

知らないうちにアドレスが流出

 続いてスパムの対策法について説明しよう。そもそも教えてもいないのに,なぜメールアドレスが知られてしまうのか。原因として,次のようなものがある。

 まず個人や組織の活動による露出だ。スパム業者はWebサイトを自動的に巡回し,インターネットに公開されているメールアドレスを収集している。Webサイトにメールアドレスを載せていたり,誰もが閲覧できるWeb掲示板やブログなどでメールアドレスを公開している人は,メールアドレスを世界中の人に教えているのと同じことになる。

 プレゼント付きのアンケートを行っているWebサイトや,会員サイトなどでメールアドレスを記入し,その内容が何らかのプログラム上の欠陥や事故あるいは事件により第三者へ漏洩してしまうこともある*3

ウイルスでアドレスを奪い取る

 ウイルスやスパイウエアを利用してメールアドレスを盗み取る手口もある(図3)。ウイルスの中には,Webブラウザのキャッシュや「OutLook」のアドレス帳,受信した過去のメールや,コンピュータ上に保存されている文書ファイルからメールアドレスを自動的に収集し,送信元あるいは受信先としてスパムを送信するものがある。過去にやり取りしたことのあるWindowsユーザーの誰かがウイルスに感染してしまうだけで,自分のメールアドレスが露出してしまうのだ。

図3●スパム送信者がメールアドレスを入手する方法の例
図3●スパム送信者がメールアドレスを入手する方法の例
スパム送信者はメールアドレスの自動収集ツール,ウイルスやスパイウエアによる攻撃,「ハーベストアタック」などによりメールアドレスを収集している

 またWebサイト経由で,ユーザーの知らないうちにクライアントPCにスパイウエアを仕掛け,様々なプライバシー情報やアドレス帳のメールアドレスなどを勝手に収集し,スパム送信者に漏洩させるものもある。

 より高度な方法として,「ハーベストアタック(Harvest Attack)」と呼ばれる手法がある。ハーベストアタックは,まず辞書などを使用して生成したアカウント名と特定のドメイン名を組み合わせて大量のメールアドレスを作る。それらのアドレス宛にメールを送り,宛先が存在しないというエラー(MAIL DELIVERY FAILUREエラー)が返ってこなかったメールアドレスは実在するものとしてメールアドレスを収集していくというものだ。これらの方法により大量のメールアドレスが収集され,スパム送信業者の間で売買されている*4

ゾンビPCからスパムを発送

 ほとんどのスパム送信者は送信者名や送信元を偽装している。偽装の方法としては,適切に設定されていないメールサーバーやプロキシサーバーを踏み台として不正中継をさせる方法や,スパム送信用に作られた悪質なツールを使用する方法がある。

 適切に設定されていないサーバーは,簡単に乗っ取って書き換えられる上,きちんとログをとっていないため,本当の送信者の身元を判別できない(図4)。最近は,スパイウエアや,ウイルス,トロイの木馬などの悪質なプログラムによってリモートコントロールされた大量の「ゾンビPC」を踏み台としてスパムを送信するクラッカーも出現している。また,直接DNSサーバーにMXレコード*5を問い合わせ,宛先ドメインを担当しているメールサーバーに直接メールを送り込むスパム送信ツールもある。

図4●送信者名や送信元を偽装してスパムを送る仕組み
図4●送信者名や送信元を偽装してスパムを送る仕組み
従来のメールサーバーやプロキシサーバーの不正中継に加え,最近は「ゾンビPC」を踏み台にしたり,スパム送信ツールを使うことによって,送信者名や送信元を偽装している

 スパムへの対処方法としては,DNSの逆引きができないIPアドレスからのメールを,メールサーバーでブロックする方法がある。だが多くのスパムは逆引きできるIPアドレスからも送られてくるので,それだけでは十分な解決策とは言えない。

フィルタリング精度を高める

 最も現実的な対応策と言えるのはフィルタリングである。あらかじめ文書内のキーワードや送信元(メールサーバー,ドメインなど)に関する条件を設定して,その条件に合致するメールをブロックする(図5)。メールサーバーやメールクライアントソフトの多くは,特定の文字やフレーズを設定してフィルタリングを実行するキーワード・フィルタリング(テキスト分析)機能を備えている。

図5●スパムを防ぐ基本的な仕組み
図5●スパムを防ぐ基本的な仕組み
スパム対策の基本は,メールサーバーとクライアントPC上でのフィルタリングだ。最近は単なるキーワード・フィルタリングだけではなく,コンテンツの内容を分析したフィルタリングが求められている

 だが,スパムには世界中から送られて来る様々なパターンがあり,すべてをブロックするキーワード・フィルタリングは現実的には不可能だ。キーワードを増やすほど,スパムではないメールもブロックしてしまう確率が高くなる。そこで多くのスパム対策ツールは,複数のフィルターを組み合わせることで,スパムを特定する確率を高めている(図6)。主なフィルターとして,テキスト分析以外に,「ブラックリスト参照」,「ベイズ分析」,「ヒューリスティック分析」などがある。

図6●フィルタリングを行うスパム対策ツールの仕組みの例
図6●フィルタリングを行うスパム対策ツールの仕組みの例
「MIMEsweeper for SMTP V5.1」(クリアスウィフト)を例にとって,スパム対策ツールがフィルタリングを行う仕組みのイメージを示した。自己学習機能を持つベイズ分析やテキスト分析といった複数のフィルターを組み合わせることで,スパム検出の確率を高めている
[画像のクリックで拡大表示]

学習機能を持つベイズ分析

 ブラックリストとは,スパムの送信元であることが判明しているメールサーバーのIPアドレスのリストだ。ブラックリストに記載されているIPアドレスから送られてきたメールを拒否することで,スパムをブロックする。ブラックリストには,システム管理者やユーザーが作成するものと,外部の団体や組織が作成するものがある。外部から提供されるリストは,たいてい数時間ごとといった極めて短いサイクルで最新版に更新されている。

 最近,多くのスパム対策ツールが取り入れているのが,ベイズ理論に基づいた「ベイズ分析」(「ベイジアン分析」とも言う)というフィルタリングだ。ベイズ理論とは簡単に言うと,「過去の出来事の積み重ねから将来を予測する」統計学の理論である。

 まず,あらかじめシステム担当者もしくは1人ひとりの利用者が「スパム」として振り分けたいメールと,スパムに振り分けられたくないメールを分類しておく。そして実際にメールが送られてきたときに間違ってスパムと判断されたメールを「スパムではない」と分類し,また間違ってスパムではないと判断されたメールを「スパムである」と分類していく。ベイズ分析ではそれぞれのメールの特徴と当初の定義を組み合わせ,スパムを判別する新たなルールを作っていく。

 例えば,当初は「未承諾」という言葉がタイトルに含まれるメールだけを,スパムと分類したとする。その後,「無料」,「配信停止」という言葉が頻繁に現れるメールもスパムとして分類していくと,当初の定義に加えてこれらの語句が含まれるメールもスパムである確率が高いと自動的に設定されていく。これを繰り返すことによって企業ならでは,もしくは個人ならではのフィルタリングのルールが確立され,最適化されていくのだ。

隔離されたメールを取り戻す

 ヒューリスティック分析とは,ツールベンダー独自の基準で「スパムらしさ」を判別する方法だ。ほとんどの製品では,ベンダーが独自に収集したスパムに基づいて,スパムかそうでないかの判断基準を設定している。具体的には,おとりのメールアドレスから収集した大量のスパムのデータ形式や単語の組み合わせ,フレーズ,ヘッダー情報,送信元などを分析し,それに基づいて基準を設定している。

 ただし,スパム対策ツールには問題点もある。大切なビジネスメールがスパムと誤認され,破棄されてしまうおそれがあることだ。ウイルスは明確に判断できるが,スパムかどうかの判断は受信者の主観によるところが大きい。そこで多くの製品は,スパムと認められて隔離されたメールを保存しておき,ユーザーが自ら確認して取り出せる機能を実装している。取り出すときに,取引先のドメインなどは「ホワイトリスト」(安全な送信元のリスト)に登録しておけば,次回以降は隔離されないという仕組みである(図6参照)。

対策にはバランスも必要

 繰り返しになるが,セキュリティ対策の第一歩はガイドライン(セキュリティポリシー)の策定である。残念ながら,ある程度の強制力がなければ社員のセキュリティ意識は高まらない。就業規則があるのと同様,情報セキュリティにおいても厳密な社内ルールを策定して社員に守らせる必要がある。

 ただし,セキュリティ対策にはバランスも必要だ。家の鍵を増やすと出入りに手間がかかるように,システムのセキュリティにおいてもガードを固めれば固めるほど,利用者にとっては不便になる傾向がある。やみくもにコストをかけて厳重なセキュリティ管理を行っても,過剰な対策になりかねない。まずは守るべき情報の優先順位を洗い出し,優先順位に沿って保管や取り扱いに関する運用ルールや技術的な仕組みを決めていくことが望ましい。

鈴木 賢剛(すずき ただよし) クリアスウィフト シニアシステムエンジニア
UNIX,ネットワーク,プログラミングの15年以上の経験を基に,インフラ構築,Webやメールコミュニケーションにおけるセキュリティ対策を専門に手掛ける。これまで,ウイルス対策,URLフィルタリング,スパム対策などのコンテンツ・セキュリティ・サービスに関わるビジネスに従事してきた